Schvaľovanie dokumentu

1  HISTÓRIA DOKUMENTU

2.ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a v zmysle výzvy: Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, číslo výzvy: PSK-MIRRI-611-2024-DV-EFRR (ďalej len „výzva“), na základe ktorej má mesto Liptovský Mikuláš záujem podať žiadosť o nenávratný finančný príspevok (ďalej len ŽoNFP) bude obsahovať: manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov a tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prí

nosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznam rizík a závislostí (ako príloha projektového zámeru).

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

2.1 Použité skratky a pojmy

2.2 Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka IDxx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: Nxx

N – nefukčná požiadavka (NFR) IDxx – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka IDxx – číslo požiadavky

3. DEFINOVANIE PROJEKTU

 3.1 Manažérske zhrnutie

Jedným zo strategickým cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Súčasné kybernetické útoky nie sú už len fiktívnou hrozbou. Prostredníctvom nich sú ohrozované nielen súkromné spoločnosti, ale aj kritická infraštruktúra štátu. Nedostatky v zabezpečení ochrany informácií zvyšujú riziko straty dôvery v štát a znižujú reputáciu krajiny. Je preto nevyhnutné prijať dôsledné opatrenia na zabezpečenie bezpečnosti krajiny v tejto oblasti a ochranu nielen dôležitých informačných systémov, ale aj informácií, ktoré sú vo veľkej miere, v rámci implementácie efektívnej verejnej správy, teda aj v sektore „Verejnej správy" poskytované, ukladané a vymieňané v kybernetickom priestore. Zavedením správnych opatrení je možné minimalizovať riziká, ktoré kybernetický priestor prináša, a to hlavne:

• odcudzenie, zneužitie alebo strata dôvernosti a/alebo dostupnosti osobných a inak citlivých údajov,

• poškodenie dobrého mena,

• znefunkčnenie vybraných služieb, a ďalšie.

Mesto Liptovský Mikuláš (MLM), ďalej ako PZS vstupuje do tohto projektu v súlade so Zákonom 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ZoKB) a Zákonom 95/2019 o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len ZoITVS). V IT odvetví sa neustále zvyšuje frekvencia a sofistikovanosť útokov a ako nevyhnutná podmienka pre udržanie zákonmi požadovanej bezpečnosti je udržateľnosť zavedených bezpečnostných opatrení, ktorá sa dá dosiahnuť iba nepretržitým dohľadom a vyhodnocovaním kybernetickej bezpečnosti.

PZS má zavedenú dokumentačnú a základnú procesnú časť v zmysle ZoKB a ZoITVS, ale na zabezpečenie udržateľnosti a dotiahnutie procesov kybernetickej a informačnej bezpečnosti potrebuje implementovať potrebné nástroje, vypracovať detailné dokumenty a nastaviť ďalšie procesy. Vzhľadom na finančné možnosti mesta sa tento projekt javí ako jediná možnosť prostredníctvom, ktorej môže MLM v najbližších rokoch získať v potrebnom rozsahu nástroje a zaviesť procesy pre zabezpečenie súladu so zákonmi.

Projekt bude realizovaný s cieľom implementovať nevyhnutnú ochranu pred hrozbami v oblasti informačnej a kybernetickej bezpečnosti a zároveň zavedie dlhodobý systém riadenia informačnej bezpečnosti.

Výsledkom realizácie projektu bude inštalácia, odladenie a zavedenie systému na riadenie rizík, systému na riadenie kontinuity, systému na riadenie kapacít, systému na monitorovanie a auditovanie infraštruktúry IKT, nasadenie LMS, na nástrojov SIEM a zriadenie dohľadového centra ( SOC). Systémy budú úzko naviazané na organizačné opatrenia v zmysle systému pre riadenie bezpečnostných incidentov a opatrení z neho vyplývajúcich a zároveň budú v plnej miere korešpondovať s výsledkami auditu kybernetickej bezpečnosti vykonaného koncom roka 2023 na MLM.

Rovnako ciele projektu v úzkej miere korešpondujú s výsledkami auditu KB, ktorý bol vykonaný v MLM koncom roka 2023. Naplnením cieľov projektu bude zabezpečený súlad so stratégiou kybernetickej bezpečnosti MLM ako PZS a jeho bezpečnostnými politikami. Zároveň implementované opatrenia budú podporené školeniami, vzdelávaním a motivačným navýšením finančného ohodnotenia, odmeňovacím systémom vlastných personálnych kapacít pre udržanie a stabilizáciu personálu.

Výsledky projektu zabezpečia :

 Detailný a spoľahlivý prehľad o bezpečnosti IT prostredia, ktoré je prevádzkované u PZS ( Mesto LM ), na základe implementovaných opatrení a vyhodnocovacieho nástroja, ktorý je nevyhnutný na včasné reakcie na kybernetické bezpečnostné ohrozenia.

 Zabezpečenie kontroly dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov.

 Zabezpečenie vyššej ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad PZS.

 Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.

 Zabezpečenie procesu detekcie kybernetických bezpečnostných incidentov prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.

 Súlad určených požiadaviek PZS na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu z vypracovanej stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonanej analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu.

Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“): Zvýšenie kvality organizácie KIB

Zvýšenie kvality riadenia rizík KIB

Zaznamenávanie udalostí a monitorovanie

Riešenie kybernetických bezpečnostných incidentov Zabezpečenie riadenia prístupov

Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti Zabezpečenie kontinuity prevádzky IS prevádzkovateľa PZS

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Cieľová skupina – interní zamestnanci mesta Liptovský Mikuláš, obyvatelia mesta Liptovský Mikuláš, podnikateľské subjekty a ostatné právnické osoby pôsobiace na území

mesta Liptovský Mikuláš.

Realizáciou aktivít projektu dosiahne mesto Liptovský Mikuláš naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia

ochrany údajov a elektronických dát, ktoré sú využívané mestom, jeho organizáciami, zamestnancami ako aj občanmi.

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

• súlad projektu so špecifickým cieľom: 2 (opatrenie 1.2.1)
• súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 26
• súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele: PO095 / PSKPSOI12 – cieľová hodnota 1

PR017 / PSKPRCR11 – cieľová hodnota 100

Miesto realizácie:

Mesto Liptovský Mikuláš.

Predpokladaný rozpočet projektu (oprávnené priame výdavky) je: 441 644,97 EUR s DPH

V prípade, že by malo mesto Liptovský Mikuláš investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

S ohľadom na to, že inštitúcie verejnej správy majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o kybernetickej bezpečnosti vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako mestu Liptovský Mikuláš získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.

Sumarizácia hlavných parametrov hodnotenia predkladaného hodnotenia projektu:

3.2 Motivácia a rozsah projektu

Mesto Liptovský Mikuláš je právnickou osobou (IČO: 00315524) zapísanou v registri organizácií vedenom Štatistickým úradom Slovenskej republiky v zmysle § 3 ods. 1 písmena b) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, t.j. ide o subjekt vo verejnej správe, konkrétne územnej samospráve. Zároveň je mesto Liptovský Mikuláš zaradené v registri prevádzkovateľov základných služieb podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len

„zákon o kybernetickej bezpečnosti“) v sektore Verejná správa (viď: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/), t.j. je poskytovateľom základnej služby (ďalej len PZS).

Z uvedeného vyplýva o.i. skutočnosť, že mesto Liptovský Mikuláš má povinnosť realizovať a financovať opatrenia kybernetickej a informačnej bezpečnosti (ďalej len KIB) definované najmä v zákonoch o kybernetickej bezpečnosti a v zákone 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ISVS“) a ďalších súvisiacich predpisoch.

MLM ako správca a prevádzkovateľ informačného systému samosprávy je povinný okrem iného zaistiť aj primeranú ochranu spracúvaných informácií voči kybernetickým hrozbám aj v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Pri rozhodovaní o potrebe implementovaných opatrení v prostredí MLM je potrebné zohľadniť fakt morálnej a fyzickej opotrebovanosti existujúcich bezpečnostných technológií a samozrejme aj výsledky auditu KB z konca roka 2023. Nevyhnutnosť dobudovania pracoviska dohľadového centra odôvodňuje aj skutočnosť pretrvávajúcich a systematických kybernetických útokov na systémy prevádzkované samosprávami.

Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v samosprávach tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.

3.2.1 Hlavný popis problému

Mesto Liptovský Mikuláš má ku dňu spracovania tohto projektového zámeru realizovaný interný audit kybernetickej bezpečnosti, ktorý bol vypracovaný na základe overení koncom roka 2023 a má spracované samohodnotenie. Z uvedeného auditu vyplýva nevyhnutnosť realizácie opatrení kybernetickej bezpečnosti,

nakoľko Mesto Liptovský Mikuláš nedosahuje požadovaný súlad s požiadavkami zákona o kybernetickej bezpečnosti, vyhlášky 362/2018 Z. z. Mesto Liptovský Mikuláš ako poskytovateľ základnej služby vykonáva iba niektoré procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.

Hlavným problémom, ktorému mesto Liptovský Mikuláš ako PZS čelí je teda vyriešenie problému s nedostatočnou úrovňou zabezpečenia v oblasti informačnej a kybernetickej bezpečnosti tak, aby po realizovaní potrebných opatrení KIB bol dosiahnutý čo najvyšší súlad v oblasti príslušných predpisov KIB a súčasne aby boli administratívne a technologické náležitosti KIB realizované tak, aby plnili svoje úlohy v čo najväčšom rozsahu nie len v rámci implementácie projektu, ale aj v rámci jeho rutinnej prevádzky (t.j. v rámci udržateľnosti projektu i po nej). Rovnako je potrebné, aby opatrenia KIB boli realizované tak, že budú pripravené na ďalší rozvoj IT technológií PZS, a aby ich bolo možné flexibilne rozširovať bez ohrozenia prevádzkovaných i zamýšľaných IT systémov.

Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

1. Nedostatočná identifikácia zraniteľnosti, identifikácia hrozieb, identifikácia a analýzy rizík s ohľadom na aktívum, určenia vlastníka rizika
2. Nedostatočné určenie cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb
3. Nedostatočné riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, spôsobom podľa § 6.
4. Nedostatočné zaznamenávanie a vyhodnocovanie prevádzkových záznamov
5. Technické zraniteľnosti informačných systémov ako celku sa nedostatočne identifikujú prostredníctvom nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí.
6. Procesy riadenia záplat a aktualizácií nie sú pravidelne zdokumentované.
7. Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa neuskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
8. Neexistuje nástroj na automatizované zaznamenávanie činnosti sietí a informačných systémov a ich používateľov, ktorý umožňuje vytvárať prevádzkové záznamy a zaznamenávať rizikové udalosti.
9. Prevádzkové záznamy nie sú zabezpečené podľa štandardu SIEM.
10. Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia podozrivej aktivity nie je jednoznačne zodpovedný na to poverený zamestnanec prevádzkovateľa základnej služby alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
11. Proces detekcie kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
12. Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí.

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

• organizácia KIB,
• riadenie rizík KIB,
• riadenie prístupov,
• riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
• bezpečnosť pri prevádzke informačných systémov a sietí,
• sieťová a komunikačná bezpečnosť,
• zaznamenávanie udalostí a monitorovanie,
• riešenie kybernetických bezpečnostných incidentov,
• kontinuita prevádzky.

3.2.2 Biznis procesy

Zvýšenie spôsobilosti dohľadového centra je kľúčové pre zabezpečenie informačnej bezpečnosti a ochranu pred kybernetickými hrozbami pre samosprávy ako centrálneho bodu zberu a spracovania citlivých dát, ktorý predstavuje základ celého procesu poskytovanie štandardných služieb a elektronických služieb pre PO a FO v pôsobnosti MLM. Realizáciou projektu dôjde k zvýšeniu spôsobilosti v nasledujúcich oblastiach:

 Rýchlejšia detekcia a reakcia na hrozby: Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu logov, monitorovanie udalostí a upozornení, a automatizáciu procesov pre rýchlejšiu identifikáciu a potlačenie hrozieb.

 Rozšírená analýza hrozieb: Vytvorenie a zdokonalenie analytických schopnosti pre hĺbkovú analýzu kybernetických hrozieb implementáciou nástrojov na analýzu malvéru, rozpoznávanie správania útočníkov a predikcia budúcich hrozieb.

 Lepšie využitie technológií: Integrácia a efektívne využívanie nových technológii a nástrojov, ako sú strojové učenie a automatizácia. To umožní rýchlejšie a presnejšie identifikovať hrozby a zároveň zníženie manuálnych úkonov.

Zlepšenie spolupráce a komunikácia:

 Posilnenie spolupráce medzi tímami v rámci organizácie, vrátane oddelení IT, prevádzky a vedenia, aby sa lepšie zdieľali informácie o hrozbách a koordinovali sa reakcie na incidenty.

 Odbornosť a školenia: Posilnenie spôsobilosti tímu dohľadového centra prostredníctvom odborných školení a certifikácií. Udržiavanie členov tímu oboznámených s najnovšími hrozbami a postupmi, a dobudovanie interného tímu náborom odborníkov na kybernetickú bezpečnosť.

 Kontinuálne zlepšovanie procesov: Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných po implementácií opatrení a počas detekcie a riešenia incidentov, implementáciou nástrojov a zvyšovaním znalostného štandardu členov tímu.

 Zabezpečenie finančných a personálnych zdrojov: Zabezpečenie dostatočného financovania, personálnych a technických zdrojov pre efektívne fungovanie implementovaných opatrení.

 Kontinuálna analýza úspešnosti: Monitorovanie úspešnosti dohľadového centra v detekcii, reakcii a prevencii kybernetických hrozieb pomocou merateľných ukazovateľov výkonu. Tieto údaje sa potom môžu použiť na ďalšie zlepšenie schopností dohľadového centra.

 Pripravenosť na nové technológie a trendy: Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať sa im v čo najkratšom čase.

 Sledovanie právnych a regulačných požiadaviek: Zabezpečiť, aby činnosti po implementácii opatrení boli v súlade s platnými právnymi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej bezpečnosti.

Tieto aktivity pomôžu interného tímu a dohľadovému centru k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany organizácie pred potenciálnymi útokmi.

3.2.3 Oblasti zamerania projektu

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 326/2018 Z. z.. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy (viď prístup k projektu), ktoré sú určené na poskytovanie základnej služby mesta Liptovský Mikuláš, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

3.2.4 Rozsah projektu

 Zoznam jednotlivých komponentov projektu :

1. Riadenie kontinuity činností (BCM)
2. Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov
3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností + implementácia
4. SW pre LMS a eArchiv SW + implementácia
5. SW nástroj pre zber dát 200 Mbps + implementácia
6. Dodávka Firewall - ového riešenia
7. Migrácia FW a vertikálna segmentácia siete
8. AD Tier model (PAM)
9. Základné školenie obsluhy

Stručný popis komponentov, ktoré sú predmetom projektu :

1. Riadenie kontinuity činností (BCM)

• Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 z. a vyhlášky 362/2018 Z. z. (§17), v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie v súvislosti s implementovanými opatreniami KB. Kontinuita činností musí obsahovať minimálne:

 plán kontinuity na stanovenie požiadaviek a zdrojov,

 plán reakcie na incidenty a plány havarijnej obnovy prevádzky,  scenáre udalostí s negatívnym vplyvom na činnosti organizácie,  postupy zálohovania a obnovy siete a informačných systémov,  politiku a ciele kontinuity,

 metodiku analýzy funkčných dopadov,

 stratégiu riadenia kontinuity vrátane evakuačných postupov,  plán údržby a kontroly BCM.

2. Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov

• • Identifikácia rôznych kategórií procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

• Určenie potenciálnych dôsledkov (škody/straty) pri rôznych dobách trvania kritických situácií,
• Identifikácia potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku: funkčných dopadov,

 finančných dopadov,

 dopadov spôsobených stratou údajov a dokumentov.

 Príprava takých postupov a vytvorenie takých podmienok, ktoré zabezpečia v prípade krízovej situácie vo vopred stanovenom rozsahu a čase návrat k fungovaniu organizácie v normálnom režime,

3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností

• • časovo neobmedzená licencia pre neobmedzený počet používateľov,

-vrátane implementácia SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností +vypracovanie prvotnej analýzy rizík a šablón. SW pre identifikáciu a riadenie rizík musí umožňovať vykonávať revízie a aktualizáciu analýzy rizík, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. SW musí byť typu klient – server nasadený na serveroch prevádzkovateľa bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému a webového prehliadača.

4. SW pre LMS a eArchiv SW

vrátane implementácie komponenty SysMon bude zabezpečené zvýšenie úrovne výpovednej hodnoty log záznamov serverov s OS Windows Server, čím dôjde k zjednodušeniu a zrýchleniu manažmentu incidentov. Úlohou komponentu LMS je poskytnúť funkcionalitu centrálneho úložiska log záznamom a zároveň umožní vykonávať nad zozbieranými údajmi vyhodnocovacie a notifikačné funkcionality za účelom včasnej notifikácie administrátorov o možnom vzniku incidentu. Komponent eArchív spracuje výstupy LMS, elektronicky ich podpisuje (vrátane časovej pečate), archivuje a umožňuje aplikovať retenčné politiky.

5. SW nástroj pre zber dát 200 Mbps

• • platnosť licencie minimálne 12 mesiacov,
  • vrátane implementácie, konfigurácie, ladenie SW nástroja pre zber dát

Implementáciou Software - ového nástroja pre zber dát bude zabezpečené aktívne sledovanie diania na sieti a v informačných systémoch prevádzky základnej služby Prevádzkovateľa ako aj podporných systémoch. Na monitorovaní sa môžu podieľať aj zamestnanci IT oddelenia. Cieľom je včas rozpoznať kybernetický útok alebo náznak potencionálneho vniknutia do systémov a sietí tak, aby bolo možné útoku či zlyhaniu siete zabrániť alebo prijať opatrenia, aby sa takýmto útokom či zlyhaním minimalizovali následky. Zároveň umožňuje jednotlivé útoky analyzovať a vyhodnocovať.

6.Dodávka Firewall - ového riešenia

• • zabezpečenie ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad organizácie. Brána firewall predstavuje bariéru medzi dôveryhodnou a nedôveryhodnou sieťou, akou je napríklad internet. Implementácia dvoch úrovní FW umožní realizovať vertikálnu segmentáciu siete s ukončením segmentov na firewalloch podľa ich kategorizácie a zároveň umožní optimalizáciu nákladov na udržateľnosť.

7. Migracia FW a vertikálna segmentácia siete

Migrácia FireWall-ov a doplnenie NGFW funkcionalít predstavuje začlenenie nových prvkov dátovej infraštruktúry do existujúcej dátovej infraštruktúry s definovaním nových pravidiel komunikácie a ochrany. Vertikálna segmentácia počítačovej siete je potrebná ako prvok rozvoja informačnej bezpečnosti a riadenia prístupu. Rozdeľuje virtuálne segmenty podľa ich kategorizácie medzi jednotlivé vrstvy firewallov. Tento prístup umožňuje riadiť dátové toky prevádzky medzi podsieťami na základe podrobných pravidiel. Zavedenie vertikálnych virtuálnych segmentov siete zlepšuje možnosti monitorovania sieťovej komunikácie, zvýšenie výkonu, lokalizáciu technických problémov ako aj zvýšenie úrovne informačnej bezpečnosti. Segmentácia siete mitiguje možnosti neoprávneným používateľom alebo útočníkom v získaní prístupu k digitálnemu vlastníctvu.

8. AD Tier model (PAM)

Model Active Directory vrstiev vytvára delenie informačného systému a používateľských a administrátorských účtov na základe toho, aké zdroje spravujú. Administrátori s kontrolou nad užívateľskými pracovnými stanicami sú oddelení od tých, ktorí riadia aplikácie alebo spravujú servery prevádzky základnej služby. Implementuje sa obmedzenie prístupu podľa úrovní, so zabezpečením, aby vysoko privilegované účty nemali prístup k menej bezpečným zdrojom. Tento princíp vhodne dopĺňa segmentáciu siete a zároveň predstavuje ďalší stupeň ochrany pred napr. útokom typu ransomware."

9. Základné školenie v potrebnom rozsahu na implementované opatrenia

Potreba jednotlivých komponentov cieľovej architektúry vychádza z výsledkov auditu KB a potreby naplnenia legislatívnych požiadaviek. Jednotlivé komponenty architektúry sú bližšie popísané v dokumente ŽoNFP, kde je uvedená podrobnejšia technická špecifikácia a požiadavky na jednotlivé komponenty, spoločne s motiváciou, odôvodnením a účelom týchto komponentov.

Realizácia projektu sa dotkne nasledovných subjektov:

Mesto Liptovský Mikuláš ako PZS

Interní zamestnanci mesta Liptovský Mikuláš, zamestnanci v rozpočtových a príspevkových organizáciách v zriaďovateľskej pôsobnosti mesta Liptovský Mikuláš

Občania, podnikatelia a iné subjekty využívajúce základné služby mesta Liptovský Mikuláš IS externých subjektov, ktoré sú poskytované ako služba pre mesto Liptovský Mikuláš

3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu

 Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS mesta Liptovský Mikuláš (a to primárne najmä tie, ktoré zabezpečujú prevádzku základnej služby) chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie základnej služby a prevádzku IS mesta Liptovský Mikuláš nasledovný dopad:

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti, s vyhláškou 362/2018 Z. z. a so zákonom o ISVS.

Obmedzenia projektu:

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

3.3 Zainteresované strany/Stakeholder

3.4 Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“) Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická

a informačná bezpečnosť.

Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade sním je aj nižšie citovaný strategický cieľ.

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

4.1 Dôveryhodný štát pripravený na hrozby.

V definícii tohto strategického cieľa uvádza, cit:

„Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov.

Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

Všetky ciele projektu sú v súlade s vyššie uvedenými strategickými dokumentmi:

* Definícia strategického cieľa vychádza zo strategického cieľa v Národnej stratégii kybernetickej bezpečnosti a nadväzuje na prioritný cieľ Národnej koncepcie informatizácie verejnej správy.

3.5 Merateľné ukazovatele (KPI)

3.5.1 Špecifikácia potrieb koncového používateľa

Z pohľadu MLM je koncovým používateľom IT oddelenie a sekundárne zamestnanci MLM, občania, podnikateľské subjekty pôsobiace na území mesta, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS mesta a tým sa de facto znefunkční

poskytovanie základnej služby MLM. Z výsledkov samohodnotenia a interného auditu vyplynuli definície potrieb a požiadaviek na realizáciu opatrení KIB, v ktorých MLM ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z. Ide o:

1. Nedostatočná identifikácia zraniteľnosti, identifikácia hrozieb, identifikácia a analýzy rizík s ohľadom na aktívum, určenia vlastníka rizika
2. Nedostatočné určenie cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb
3. Nedostatočné riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, spôsobom podľa § 6.
4. Nedostatočné zaznamenávanie a vyhodnocovanie prevádzkových záznamov
5. Technické zraniteľnosti informačných systémov ako celku sa nedostatočne identifikujú prostredníctvom nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí.
6. Procesy riadenia záplat a aktualizácií nie sú pravidelne zdokumentované.
7. Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa neuskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
8. Neexistuje nástroj na automatizované zaznamenávanie činnosti sietí a informačných systémov a ich používateľov, ktorý umožňuje vytvárať prevádzkové záznamy a zaznamenávať rizikové udalosti.
9. Prevádzkové záznamy nie sú zabezpečené podľa štandardu SIEM.
10. Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia podozrivej aktivity nie je jednoznačne zodpovedný na to poverený zamestnanec prevádzkovateľa základnej služby alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
11. Proces detekcie kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
12. Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí.

Podrobne boli špecifikované požiadavky na realizáciu v rámci prieskumu trhu na realizáciu opatrení nasledovne:

1. Riadenie kontinuity činností (BCM)

Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17), Kontinuita činností musí obsahovať minimálne:

 plán kontinuity na stanovenie požiadaviek a zdrojov,

 plán reakcie na incidenty a plány havarijnej obnovy prevádzky,  scenáre udalostí s negatívnym vplyvom na činnosti organizácie,  postupy zálohovania a obnovy siete a informačných systémov,  politiku a ciele kontinuity,

 metodiku analýzy funkčných dopadov,

 stratégiu riadenia kontinuity vrátane evakuačných postupov,  plán údržby a kontroly BCM.

2.Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov Minimálne požiadavky na analýzu dopadov

Analýza dopadov musí:

• identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

• určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

• stanoviť maximálne akceptovateľné doby prerušenia (MTO),

• stanoviť minimálne ciele kontinuity podnikania (MBCO),

• určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

 identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

 funkčných dopadov,  finančných dopadov,

 dopadov spôsobených stratou údajov a dokumentov.

 pripraviť také postupy a vytvoriť také podmienky, ktoré zabezpečia v prípade krízovej situácie vo vopred stanovenom rozsahu a čase návrat k fungovaniu organizácie v normálnom režime,

 identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

 ľudia,

 aplikácie / databázy,

 údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),  údaje uložené na papierovom médiu,

 IT a komunikačné zariadenia,  komunikačné kanály,

 ostatné vybavenie,

 vybavenie a infraštruktúra,  pracovný kapitál.

3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností a implementácia Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčné vlastnosti:

 správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov a hodnoty,

 správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov,  správa hrozieb – vedenie zoznamu rozpoznaných hrozieb,

 správa opatrení – vedenie zoznamu opatrení potrebných na ošetrenie rizík,

 správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami,

 správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,  semikvantitatívna, prípadne kvantitatívna metóda hodnotenia významnosti rizík,

 číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,  významnosť rizík vyjadrená číselne a následne kategorizovaná,

 import aktív a hrozieb zo súboru (napr. súbor vo formáte CSV).

Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:

 pre interakciu s používateľom musí byť k dispozícií webové rozhranie v plnej podpore slovenského jazyka bez špeciálnych nárokov na webový prehliadač,

 výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,  IS musí umožňovať riadiť prístup užívateľov k obsahu analýzy rizík.

Správa používateľov musí umožňovať:

 evidenciu používateľov oprávnených pristupovať k subjektom a identifikovať, manažovať ich riziká,  integráciu na systémy správy používateľov aspoň na úrovni LDAP alebo MS ActiveDirectory

 prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.

IS pre identifikáciu a riadenie rizík musí umožňovať vykonávať revízie a aktualizáciu analýzy rizík, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. IS musí byť typu klient – server nasadený na serveroch prevádzkovateľa bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému a webového prehliadača.

Súčasťou dodávky je aj Implementácia SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností +vypracovanie prvotnej analýzy rizík a šablón

4.SysMon, LMS a eArchiv

Účelom danej aktivity je zvýšenie úrovne výpovednej hodnoty denníkov udalostí serverovej infraštruktúry postavenej na OS Windows Server, implementácia nástroja pre centrálny zber log záznamov s funkcionalitou ako generovanie notifikácií, poskytovanie prehľadov a reportov, možnosti konfigurovania retenčných politík a funkcionality exportu zozbieraných údajov za účelom ich archivácie.

SysMon so skupiny nástrojov Sysinternals je efektívny nástroj vhodný pre administrátorské účely ale aj manažment bezpečnostných incidentov implementovateľný automatizovane prostredníctvom GPO. Sysmon rozširuje množinu zaznamenaných denníkov udalostí a zároveň v týchto denníkoch udalostí adresne rozširuje množinu informácií a tým významne zvyšuje ich výpovednú hodnotu. Objednávateľ plánuje nástroj nasadiť minimálne na všetky servery prevádzky základnej služby ako aj podporné systémy vybavené OS MS Windows Server.

LMS plánuje obstarávateľ nasadiť ako samostatný nástroj tvoriaci dátovú základňa pre zber, analýzu a archiváciu denníkov udalostí. V tejto architektúre sú log záznamy zbierané z jednotlivých zdrojov priamo do LMS. LMS automatizovane vykonáva analytické činnosti nad zozbieranými údajmi ako sú odfiltrovanie udalostí s nízkou výpovednou hodnotou, vyhodnocovanie výskytu udalostí naznačujúcich možné bezpečnostné riziko a následné notifikovanie. Ďalej LMS poskytuje funkcionality ako funkcionalita dashboardov a reportovania a funkcionalitu retenčných politík. Systém Log manažment musí poskytovať aj automatizovateľnú funkcionalitu exportu zozbieraných údajov.

Súčasťou riešenia je dlhodobé úložisko údajov zozbieraných prostredníctvom LMS vo forme služby s nasledovnými požiadavkami na funkčnosť a kompatibilitu:

Vytváranie a overenie elektronického podpisu pre zachovanie integrity archivovaných údajov s nižšie uvedenými požiadavkami bude zabezpečené produktom, ktorý umožňuje automatizovaným systémom vytvárať a overovať kvalifikovaný elektronický podpis a pečať v zmysle európskeho nariadenia eIDAS a platnej slovenskej legislatívy. :

 Funkcionalita automatického vytvárania a overovania zdokonaleného elektronického podpisu a overovania kvalifikovaného elektronického podpisu a časovej pečiatky.

 Minimálna softvérová kompatibilita s: Windows Server 2019, MS .NET framework 4.8, MS IIS 10.  Kompatibilné s eID a QSCD zariadeniami s a podpora rozhraní CSP a PKCS#11.

 Kompatibilné s: PKCS #11: Cryptographic Token Interface Standard a Microsoft Crypto API / Cryptographic Service Provider.  Softvérové riešenie s súlade s Nariadením EÚ č. 910/2014 – eIDAS.

 Podporované šifrovacie algoritmy minimálne v rozsahu: SHA-224, SHA-256, SHA-384, SHA-512 SHA3-224, SHA3-256, SHA3-384, SHA3-512, RSA, DSA, ECDSA, RIPEMD128, RIPEMD160, RIPEMD256.

 Podporované elektronické formáty: ZIP, RAR, XML, XMLDataContainer / XML formuláre alebo formáty spracovateľné externou aplikáciou.

 Podporované šifrovacie štandardy: X.509 Public Key Certificates, CMS Advanced Electronic Signatures, XML Advanced Electronic Signatures, Electronic Signature Policies, ASiC, ZEPf,Trust-service Status List, Dôveryhodný zoznam, Time-Stamp Protocol, OCSP.

 Podporované formáty elektronického podpisu CAdES-BES, CAdES-EPES, CAdES-T, CAdES-X, CAdES-A CAdES-B-B, CAdES-B-T, CAdES-B- LT, CAdES-B-LTA XAdES-BES, XAdES-EPES, XAdES-T, XAdES-X, XAdES-A XAdES-B-B, XAdES-B-T, XAdES-B-LT, XAdES-B-LTA PAdES- BES, PAdES-EPES, PAdES-T, PAdES-LTV PAdES-B-B, PAdES-B-T, PAdES-B-LT, PAdES-B-LTA XAdES_ZEP s dátovými objektmi typu XML,

zložený elektronický podpis, Integritný podpis.

 Súlad so štandardmi: ETSI TS 101 733, ETSI TS 103 173, ETSI TS 101 903, ETSI TS 103 171, ETSI TS 102 778, ETSI TS 103 172, ETSI TS

102 918, ETSI TS 103 174, ETSI TS 119 612, ETSI TR 102 272, RFC 5280, RFC 3161, RFC 6960.

 Kompatibilné s komunikačnými štandardami: SOAP 1.2, WS-I Basic Profile 1.1, WSS SOAP Message Security 1.0, SOAP Message Transmission Optimization Mechanism.

Produkt bude dodaný ako služba s požadovanou funkcionalitou.

Archiváciu elektronicky podpísaných dokumentov s nižšie uvedenými požiadavkami bude zabezpečená produktom, ktorý rozširuje takmer ľubovoľný DMS (Document Management System) o schopnosť udržiavať dlhodobú overiteľnosť archivovaných dokumentov podpísaných kvalifikovaným elektronickým podpisom a pečaťou (QES). Riešenie je určené najmä pre stredné a veľké organizácie, ktoré potrebujú dlhodobo archivovať dokumenty podpísané kvalifikovaným elektronickým podpisom a pečaťou.

 Funkcionalita pre zachovanie dlhodobej overiteľnosti archivovaných dokumentov podpísaných zdokonaleným elektronickým podpisom, kvalifikovaným elektronickým podpisom a časovou pečiatkou.

 Integračné rozhranie pre DMS systémy

 Minimálna softvérová kompatibilita s: Windows Server 2019

 Súlad so štandardmi ETSI pre elektronický podpis a štandardmi NBÚ SR

Produkt bude dodaný ako služba s požadovanou funkcionalitou.

5. SW pre zber dát 200 Mbps - s platnosťou 12 mesiacov

Centralizovaný integrovaný sieťový bezpečnostný nástroj pre zber dát a aktívne sledovanie diania v lokálnej počítačovej sieti a v informačných systémoch prevádzky základnej služby Prevádzkovateľa ako aj podporných systémoch. Na monitorovaní sa budú na úrovni L1 podieľať zamestnanci IT oddelenia

a pre potreby úrovní L2 a L3 Prevádzkovateľ plánuje obstarať externého dodávateľa formou SLA služieb z vlastných zdrojov. Cieľom je včas rozpoznať kybernetický útok alebo náznak potencionálneho vniknutia do systémov a sietí tak, aby bolo možné útoku či zlyhaniu siete zabrániť alebo prijať opatrenia, aby sa takýmto útokom či zlyhaním minimalizovali následky. Zároveň jednotlivé útoky analyzovať a vyhodnocovať. Na základe vyššie uvedených záverov bude vybrané a do testovacej prevádzky zavedené centralizované integrované sieťové bezpečnostné softvérové vybavenie, kde Prevádzkovateľ identifikoval nasledovné minimálne funkčné požiadavky:

 Predpokladaný objem sieťovej komunikácie na analýzu – 200Mbps

 Multiplatformová podpora zdrojových zariadení pre zber dátových tokov a logov  Využívanie funkcionalít strojového učenia

 Funkcionalita detekcie narušenia – IDS vrátane znalostných databáz pre IDS  Korelačná funkcionalita nad zozbieranými údajmi

 Napojenie na znalostné databázy ako databázy škodlivých IP adries a Threat Intelligence  Rozšírená klasifikácia aktív a ich rolí – Tagovanie

 Prijímanie a spracovanie log záznamov s možnosťou generovania bezpečnostných udalostí – min 150 EPS  Aktívna sieťová detekcia malware, aktivít útočníka v sieti, aktivít typu C&C

 Zaznamenávanie paketov na základe vstupných podmienok  Monitorovanie interakcií v sieťach a „Lateral movement“

 Detekcia škodlivých súborov pomocou hashovania a detekčných signatúr

 Prevencia úniku informácií (DLP) na základe vytvárania signatúr a tagovania  Možnosť vykonávania prediktívnych analýz a analýz zmien v sieti

 Funkcionalita NBA

 Možnosť vytvárania incidentov a ich následnej správy  Notifikačná funkcionalita formou emailu

 Interpretácia údajov formou web rozhrania (dashboard)

 Funkcionalita generovania reportov s možnosťou definovania vlastných pravidiel  Podpora integrácie s MS Active Directory

Pre ocenenie tohto komponentu predpokladáme podporu zabezpečenia prevádzky zo strany dodávateľa len po dobu max. 12 mesiacov. Ďalšie 4 roky bude zabezpečená táto služba vlastnými kapacitami.

6. Dodávka Fiewall-ového riešenia

Súčasťou dodávky riešenia sú zariadenia s nasledujúcimi parametrami :

2ks HW Firewall pre Internet Edge vrstvu

 Zariadenie montovateľné do dátového rozvádzača, veľkosť max. 1RU , min. 1x management port, min. 8 x GE RJ45 portov, min 4x SFP, min 1 x USB 3.0 Type-A, min. 150GB interného dátového úložiska, RAM min 16GB.

 Min. priepustnosť FW: 2 Gbps ,min. počet súčasných FW spojení: 190 000, min. počet nových spojení za sekundu: 14 000 , min. počet súčasných VPN spojení: 140, podpora IDS/IPS.

 Priepustnosť FW + AVC IPS – min. 2 Gbps

 Podpora/záruka od výrobcu pre výmenu zariadenia v prípade poruchy 1 rok, 24x7. SW podpora a platnosť licencií minimálne 1 rok. Výmena zariadení min. v režime 8x5.

2ks HW Firewall pre DC vrstvu

 Zariadenie montovateľné do dátového rozvádzača, veľkosť max. 1RU , min. 1x management port, min. 8 x GE RJ45 portov, min 8 x 1/10G SFP+, min 1 x USB 3.0 Type-A, min. 850GB interného dátového úložiska, RAM min 2x32GB.

 Min. priepustnosť FW: 9 Gbps ,min. počet súčasných FW spojení: 1 400 000, min. počet nových spojení za sekundu: 80 000 , min. počet súčasných VPN spojení: 1900, podpora IDS/IPS.

 Priepustnosť FW + AVC IPS – min. 9 Gbps, priepustnosť TLS min 3 Gbps.

 Podpora/záruka od výrobcu pre výmenu zariadenia v prípade poruchy 1 rok, 24x7. SW podpora a platnosť licencií minimálne 1 rok. Výmena zariadení min. v režime 8x5.

 Redundantný zdroj napájania.

7. Migrácia FW a vertikálna segmentácia

Obstarávateľ plánuje zavedenie nového firewallového HW a SW vybavenia v High Availability režime a v architektúre dvoch vrstiev.

Iniciálnym krokom je analýza prostredia súčasného firewallu, kontrola pravidiel z pohľadu ich využívania a bezpečnosti prevádzky a ich následná optimalizácia. Až po tomto kroku bude nasledovať migrácia FW pravidiel na nové firewallové vybavenie ale už v zmysle segmentovania do dvoch vrstiev.

Prvá vrstva bude slúžiť ako „Internet Edge“ firewall a bude vybavená NGFW funkcionalitami (URL filtrovanie, inšpekcia šifrovanej prevádzky, integrované IPS, pokročilá detekcia malwaru a funkcia Threat intelligence). Tieto funkcionality zároveň predstavujú samostatný bezpečnostný nástroj a sú hodnotným zdrojom informácií pri riešení bezpečnostných incidentov. Ďalej bude jej úlohou poskytovať služby VPN koncentrátora, poskytovať MFA autorizáciu pre používateľov VPN a budú tu ukončené DMZ a špinavé siete (typu WIFI pre hostí) tak aby došlo k ich oddeleniu od interných sietí.

Bežné interné siete budú ukončené na 2. vrstve firewallov (DC vrstva) bez funkcionalít NGFW a budú tu ukončené všetky ostatné interné sieťové segmenty, ktoré podľa rizikovosti nebudú ukončené na prvej vrstve firewallov. V tejto architektúre budú všetky sieťové segmenty ukončené, riadené a kontrolované firewallom.

8. AD Tier model (PAM)

Slúži na zvýšenie úrovne informačnej bezpečnosti rozdelením infraštruktúry Microsoft Active Directory do viacerých vrstiev podľa klasifikácie jednotlivých aktív vo vrstvách. Model definuje minimálne tri vrstvy, ktoré vytvárajú zóny na oddelenie správy rizikovejších aktív ako pracovné stanice od cenných aktív ako napr. servery prevádzky základnej služby, DB servery, radič domény a podobne. Model zároveň definuje dedikované prístupy pre privilegované účty do jednotlivých vrstiev a obmedzuje prestupy medzi vrstvami. Zabráni tak útočníkovi ktorý sa zmocnil oprávnení používateľa s nízkymi oprávneniami aby eskaloval oprávnenie pre užívateľa s vysokými privilégiami a prevzal kontrolu nad hodnotnejším aktívom. Predmetné rozdelenie infraštruktúry Microsoft Active Directory bude na základe rovnakých vstupných premenných zavedené aj na úrovni vertikálnej segmentácie siete medzi dve úrovne firewallov.

Tier 0 – najvyššia úroveň zahŕňa servery prevádzky základnej služby, kritické aplikačné servery, radiče domény. Tier 1 – je určená pre doménové member servery a aplikačné servery

Tier 2 – je určená pre koncových užívateľov pracovné stanice.

9. Zaškolenie obsluhy v potrebnom rozsahu pre všetky komponenty

Predpokladaný rozsah školení vybraných pracovníkov v počte max.5 počas min. 5 dní ( 40 hodín )

3.6 Riziká a závislosti

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

3.7 Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a výsledky auditu KB a celú problematiku KB komplexne.

Alternatíva 1 - Ponechanie súčasného stavu

Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov a ochranu informácií v súčasnom prostredí MLM a prevádzkovaných informačných systémov a zabezpečenie kybernetickej bezpečnosti ponechať v riešení existujúcich zmlúv SLA a interných kapacít MLM. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018

Z.z. o KB. Rovnako dôjde k obmedzenému odstráneniu negatívnych zistení výsledkov auditu, dôsledkom čoho dôjde aj k podstatnému zvýšeniu rizika pre vznik bezpečnostných incidentov bez ich prípadnej včasnej eliminácie.

Alternatíva 2 – Implementácia opatrení v zmysle zistení auditu KB v podmienka MLM s plným externým zabezpečením služieb dohľadového centra

Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom resp. voči politicky motivovaným kampaniam. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tejto alternatívy dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.

Hlavné prínosy tejto alternatívy predstavuje:

• technické vybavenie, ktorým sa zabezpečí zvýšenie viditeľnosti a kvality zbieraných a vyhodnocovaných informácií z informačných systémov, zvýšenie miery automatizácie a rozsahu procesov životného cyklu kybernetických incidentov a s tým spojené zníženie chybovosti ľudského faktoru.

• personálne zabezpečenie je riešené externe na základe zmluvy SLA po implementácii projektu, čím sa zvýši spôsobilosť.
• procesná spôsobilosť zabezpečená vytvorením detailných postupov práce a dokumentácie, čím sa zabezpečí automatizácia a zníži chybovosť ľudského

Alternatíva 3 – Implementácia opatrení v zmysle zistení auditu KB v podmienka MLM s externým zabezpečením služieb dohľadového centra počas testovacej prevádzky a následným prechodom zabezpečenia služieb dohľadového centra vlastnými kapacitami

Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom resp. voči politicky motivovaným kampaniam. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tejto alternatívy dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.

Hlavné prínosy tejto alternatívy predstavuje:

• technické vybavenie, ktorým sa zabezpečí zvýšenie viditeľnosti a kvality zbieraných a vyhodnocovaných informácií z informačných systémov, zvýšenie miery automatizácie a rozsahu procesov životného cyklu kybernetických incidentov a s tým spojené zníženie chybovosti ľudského faktoru.
• personálne zabezpečenie je riešené externe len počas implementácie projektu, čím sa zvýši spôsobilosť a následne sa ušetria finančné prostriedky nakoľko bude minimalizované využívanie externých kapacít poskytovaných tretími stranami.
• procesná spôsobilosť zabezpečená vytvorením detailných postupov práce a dokumentácie, čím sa zabezpečí automatizácia a zníži chybovosť ľudského

3.8 Multikriteriálna analýza

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele MLM, jeho požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

Kritériá pre MCA

Vyhodnotenie MCA

Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 2 ako jediná, ktorá spĺňa všetky požiadavky.

3.9 Stanovenie alternatív v aplikačnej vrstve architektúry

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

3.10   Stanovenie alternatív v technologickej vrstve architektúry

 Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie bude prevádzkované čiastočne na HW infraštruktúre MLM a čiastočne na dodanej novej HW infraštruktúre a s úspešným uchádzačom bude podpísaná zmluva o dielo.

4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Zabezpečenie zavedenia systémových opatrení a zároveň vytvorenie predpokladov pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou týchto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tohto projektu dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.

Výstupom bude aj dodanie dokumentácie, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (BCM).

Realizácia projektu bude v zmysle vyhlášky ÚPVII č. 85/2020 Z. z. pozostávať z uvedených etáp:  Analýza a dizajn,

 Nákup technických prostriedkov, programových prostriedkov a služieb  Implementácia a testovanie,

 Nasadenie

5. NÁHĽAD ARCHITEKTÚRY

Za účelom zvýšenia úrovne zavedených postupov a opatrení týkajúcich sa kybernetickej a informačnej bezpečnosti (KIB) v MLM je potrebné konsolidovať existujúcu bezpečnostnú architektúru a dobudovať dohľadovú službu, implementáciou nových a inováciou existujúcich bezpečnostných nástrojov a procesov, a to najmä v nasledovných oblastiach:

 kybernetická ochrana a bezpečnostný monitoring a identifikácia bezpečnostných incidentov,

 riadenie bezpečnostných incidentov,  ochrana proti externým hrozbám,

 ochrana dát, dátových prenosov a komunikácie,  zvyšovanie bezpečnostného povedomia,

 implementácia bezpečnostných opatrení na zabezpečenie súladu so zákonom a výsledkami auditu KB

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií:

 Kybernetická ochrana a detekcia škodlivých aktivít a bezpečnostných incidentov: Bezpečnostný monitoring IS, platforiem, aplikácií a používateľských činností a aktivít. Monitoring sietí, monitoring činností a aktivít privilegovaných používateľov.

 Riadenie bezpečnostných incidentov: Identifikácia a hlásenie bezpečnostných incidentov, registrácia, kategorizácia a klasifikácia bezpečnostných incidentov. Akceptácia bezpečnostných incidentov a určenie riešiteľov. Analýza a vyšetrovanie bezpečnostných incidentov a zber dôkazov.

Riešenie bezpečnostných incidentov a obnova prevádzky, uzatvorenie bezpečnostných incidentov, vyhodnotenie bezpečnostných incidentov, zavedenie do KB DB, spätná väzba a poučenie sa z bezpečnostného incidentu.

 Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).

 Ochrana dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení. Riadenie SW záplat (Patch management), manažment zraniteľností.

 Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware. Manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií.

Aktuálna schéma riešenia :

Jednotlivé funkcie budú zabezpečovať nasledujúce komponenty architektúry riešenia:

 Zoznam jednotlivých komponentov projektu :

1. Riadenie kontinuity činností (BCM)
2. Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov
3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností + implementácia
4. SW pre LMS a eArchiv SW + implementácia
5. SW nástroj pre zber dát 200 Mbps + implementácia
6. Dodávka Firewall - ového riešenia
7. Migrácia FW a vertikálna segmentácia siete
8. AD Tier model (PAM)
9. Základné školenie obsluhy

Stručný popis komponentov, ktoré sú predmetom projektu :

1. Riadenie kontinuity činností (BCM)

• Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 z. a vyhlášky 362/2018 Z. z. (§17), v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie v súvislosti s implementovanými opatreniami KB. Kontinuita činností musí obsahovať minimálne:

 plán kontinuity na stanovenie požiadaviek a zdrojov,

 plán reakcie na incidenty a plány havarijnej obnovy prevádzky,  scenáre udalostí s negatívnym vplyvom na činnosti organizácie,  postupy zálohovania a obnovy siete a informačných systémov,  politiku a ciele kontinuity,

 metodiku analýzy funkčných dopadov,

 stratégiu riadenia kontinuity vrátane evakuačných postupov,  plán údržby a kontroly BCM.

2. Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov

• • Identifikácia rôznych kategórií procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

• Určenie potenciálnych dôsledkov (škody/straty) pri rôznych dobách trvania kritických situácií,
• Identifikácia potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku: funkčných dopadov,

 finančných dopadov,

 dopadov spôsobených stratou údajov a dokumentov.

 Príprava takých postupov a vytvorenie takých podmienok, ktoré zabezpečia v prípade krízovej situácie vo vopred stanovenom rozsahu a čase návrat k fungovaniu organizácie v normálnom režime,

3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností

• • časovo neobmedzená licencia pre neobmedzený počet používateľov,

-vrátane implementácia SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností +vypracovanie prvotnej analýzy rizík a šablón. SW pre identifikáciu a riadenie rizík musí umožňovať vykonávať revízie a aktualizáciu analýzy rizík, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. SW musí byť typu klient – server nasadený na serveroch prevádzkovateľa bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému a webového prehliadača.

4. SW pre LMS a eArchiv SW

vrátane implementácie komponenty SysMon bude zabezpečené zvýšenie úrovne výpovednej hodnoty log záznamov serverov s OS Windows Server, čím dôjde k zjednodušeniu a zrýchleniu manažmentu incidentov. Úlohou komponentu LMS je poskytnúť funkcionalitu centrálneho úložiska log záznamom a zároveň umožní vykonávať nad zozbieranými údajmi vyhodnocovacie a notifikačné funkcionality za účelom včasnej notifikácie administrátorov o možnom vzniku incidentu. Komponent eArchív spracuje výstupy LMS, elektronicky ich podpisuje (vrátane časovej pečate), archivuje a umožňuje aplikovať retenčné politiky.

5.SW nástroj pre zber dát 200 Mbps

• • platnosť licencie minimálne 12 mesiacov,
  • vrátane implementácie, konfigurácie, ladenie SW nástroja pre zber dát

Implementáciou Software - ového nástroja pre zber dát bude zabezpečené aktívne sledovanie diania na sieti a v informačných systémoch prevádzky základnej služby Prevádzkovateľa ako aj podporných systémoch. Na monitorovaní sa môžu podieľať aj zamestnanci IT oddelenia. Cieľom je včas rozpoznať kybernetický útok alebo náznak potencionálneho vniknutia do systémov a sietí tak, aby bolo možné útoku či zlyhaniu siete zabrániť alebo prijať opatrenia, aby sa takýmto útokom či zlyhaním minimalizovali následky. Zároveň umožňuje jednotlivé útoky analyzovať a vyhodnocovať.

6. Dodávka Firewall - ového riešenia

1. • zabezpečenie ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad organizácie. Brána firewall predstavuje bariéru medzi dôveryhodnou a nedôveryhodnou sieťou, akou je napríklad internet. Implementácia dvoch úrovní FW umožní realizovať vertikálnu segmentáciu siete s ukončením segmentov na firewalloch podľa ich kategorizácie a zároveň umožní optimalizáciu nákladov na udržateľnosť.

7. Migracia FW a vertikálna segmentácia siete

Migrácia FireWall-ov a doplnenie NGFW funkcionalít predstavuje začlenenie nových prvkov dátovej infraštruktúry do existujúcej dátovej infraštruktúry s definovaním nových pravidiel komunikácie a ochrany. Vertikálna segmentácia počítačovej siete je potrebná ako prvok rozvoja informačnej bezpečnosti a riadenia prístupu. Rozdeľuje virtuálne segmenty podľa ich kategorizácie medzi jednotlivé vrstvy firewallov. Tento prístup umožňuje riadiť dátové toky prevádzky medzi podsieťami na základe podrobných pravidiel. Zavedenie vertikálnych virtuálnych segmentov siete zlepšuje možnosti monitorovania sieťovej komunikácie, zvýšenie výkonu, lokalizáciu technických problémov ako aj zvýšenie úrovne informačnej bezpečnosti. Segmentácia siete mitiguje možnosti neoprávneným používateľom alebo útočníkom v získaní prístupu k digitálnemu vlastníctvu.

8. AD Tier model (PAM)

Model Active Directory vrstiev vytvára delenie informačného systému a používateľských a administrátorských účtov na základe toho, aké zdroje spravujú. Administrátori s kontrolou nad užívateľskými pracovnými stanicami sú oddelení od tých, ktorí riadia aplikácie alebo spravujú servery prevádzky základnej služby. Implementuje sa obmedzenie prístupu podľa úrovní, so zabezpečením, aby vysoko privilegované účty nemali prístup k menej bezpečným zdrojom. Tento princíp vhodne dopĺňa segmentáciu siete a zároveň predstavuje ďalší stupeň ochrany pred napr. útokom typu ransomware."

 9.Základné školenie v potrebnom rozsahu na implementované opatrenia

Potreba jednotlivých komponentov cieľovej architektúry vychádza z výsledkov auditu KB a potreby naplnenia legislatívnych požiadaviek. Jednotlivé komponenty architektúry sú bližšie popísané v dokumente ŽoNFP, kde je uvedená podrobnejšia technická špecifikácia a požiadavky na jednotlivé komponenty, spoločne s motiváciou, odôvodnením a účelom týchto komponentov.

6. LEGISLATÍVA

Projekt nepredpokladá potrebu legislatívnych zmien pre naplnenie cieľov a dodanie výstupov projektu. V tejto kapitole sú vymenované legislatívne normy, ktoré sa týkajú informačných systémov verejnej správy a agendy Národného centra zdravotníckych informácií. Zoznam neobsahuje usmernenia a technické predpisy. Zoznam legislatívnych noriem v tomto dokumente iba orientačný.

Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.

Zákony a vyhlášky týkajúce sa eGovernmentu:

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe

Vyhláška ÚPVII č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy Zákon č. 540/2001 Z. z. o štátnej štatistike

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)

Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii)

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti Vyhláška ÚPVII č. 85/2020 Z. z. o riadení projektov

Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy,

Výnos č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy,

Výnos č. 478/2010 Z. z. o základnom číselníku úsekov verejnej správy a agend verejnej správy,

Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e- Governmente),

Vyhláška MF SR č. 275/2014 Z. z. o zaručenej konverzii. Zákon č. 215/2002 Z. z. o elektronickom podpise,

Výnos MV SR č. 525/2011 Z. z. o štandardoch pre elektronické informačné systémy na správu registratúry, Zákon č. 125/2015 Z. z. o registri adries a o zmene a doplnení niektorých zákonov,

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy (dostupným na https://www.mirri.gov.sk/sekcie/oddelenie-behavioralnych-inovacii

/jednotny-dizajn-manual-elektornickych-sluzieb-verejnej-spravy/index.html )

Metodické pokyny, usmernenia a príručky zverejnené na https://metais.vicepremier.gov.sk/help.

Pri tvorbe, vývoji a implementácii diela dodržiavať bezpečnostné požiadavky špecifikované v Metodike pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (dostupná na https://www.csirt.gov.sk/wp-content/uploads/2021/08/MetodikaZabezpeceniaIKT_v2.1.pdf? csrt=3181741314547744407 ),

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 546/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 547/2021 Z. z. o elektronizácii agendy verejnej správy

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám MLM.

Schéma metódy projektového riadenia:

8.  ROZPOČET A PRÍNOSY

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

Kvantitatívne prínosy

Výrazné zníženie nedostupnosti IS z dôvodu doplnenia HW infraštruktúry:

Z dôvodu výmeny a doplnenie niektorých kľúčových HW a SW komponentov infraštruktúry sa zvýši dostupnosť IS pri prip. poruche HW . Prínos je počítaný ako rozdiel medzi súčasným stavom, kedy redundancia HW nebola zabezpečená. Stav AS-IS a TO-BE zodpovedá dosiahnutiu plnej redundancie po implementácii projektu.

Kvalitatívne prínosy

Projekt vybudovanie bezpečnostného dohľadového centra v prostredí Mesta Liptovský Mikuláš prináša viaceré významné kvalitatívne prínosy v oblasti kybernetickej bezpečnosti a ochrany kritických informačných systémov:

Zvýšená kybernetická ochrana

Projekt prispieva k posilneniu ochrany pred kybernetickými hrozbami a útokmi. Zvýšená schopnosť detekcie a prevencie hrozieb pomáha minimalizovať riziko kybernetických incidentov a znefunkčnenia kritických systémov. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že organizácia bude vystavená menej rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Súčasné kybernetické hrozby sa neustále vyvíjajú a stávajú sa čoraz zložitejšími a nebezpečnejšími. Útoky sa objavujú na nových frontoch a využívajú nové techniky na obídenie existujúcich obranných mechanizmov. Tieto hrozby predstavujú závažné riziká pre organizáciu, ktoré môžu mať vážne dôsledky na jej činnosť a povesť. V rámci projektu bude investované do nových technológií, nástrojov a stratégií, ktoré organizácii umožnia identifikovať a eliminovať tieto hrozby na najvyššej úrovni. Vytvoríme širší a komplexnejší prístup k kybernetickej bezpečnosti, ktorý zabezpečí, že organizácia bude dobre pripravená na kybernetické hrozby všetkých druhov. Rozšírením kybernetickej bezpečnosti na vyššiu úroveň bude mať MLM možnosť brániť sa najnáročnejším útokom a minimalizovať ich škodlivé účinky. Tým bude zabezpečená ochranu aktív a dôvernosti organizácie, čo je kritické pre občanov, zamestnancov a partnerov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť a prosperitu MLM.

Rýchlejšia reakcia na hrozby

Implementácia technologických riešení a automatizácia procesov v pracovisku dohľadového centra umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budú implementované moderné technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k veľmi rýchlemu nasadeniu potrebných opatrení na minimalizáciu potenciálnych škôd. To znamená, že vďaka implementácii projektu bude MLM schopné zareagovať na hrozby rýchlejšie a účinnejšie. Výsledkom je nielen zníženie rizika pre MLM, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť. Zvýšená rýchlosť a efektivita reakcie na kybernetické hrozby prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesti. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany MLM pred hrozbami v dnešnom digitálnom svete.

Spolupráca a komunikácia

Zlepšená spolupráca a komunikácia medzi rôznymi tímami v organizácii pomáha včasnému zdieľaniu informácií o hrozbách a koordinácii reakcií na kybernetické incidenty. Zlepšená spolupráca znamená, že tímy zamerané na bezpečnosť, IT, a všetky ďalšie príslušné oddelenia budú mať jednoduchší prístup k informáciám o kybernetických hrozbách. To umožní včasné a rýchle zdieľanie informácií o identifikovaných rizikách a aktuálnych situáciách.

Týmto spôsobom môžeme predchádzať izolovaným silám a skrátiť čas, ktorý by inak bol potrebný na vyhľadávanie dôležitých informácií. V prípade kybernetických incidentov, kedy každá sekunda záleží, umožňuje tento projekt okamžitú komunikáciu a koordináciu reakcií. Rôzne tímy sú schopné okamžite reagovať na situácie, spolupracovať na náprave incidentu a obnoviť normálnu prevádzku bez neprimeraného omeškania. Spolupráca a komunikácia sú kľúčom k efektívnemu kybernetickému bezpečnostnému procesu, a ich zdokonalenie v rámci tohto projektu posilňuje obranu MLM proti hrozbám. Zabezpečuje to, že MLM je jednotným tímom, ktorý je schopný reagovať na kybernetické hrozby s jednotným úsilím, čo vedie k zníženiu rizika a minimalizácii škôd.

Zvýšená odbornosť

Projekt zahŕňa základné odborné školenia pre personál MLM, čo vedie k zvýšeniu znalostného štandardu tímu a udržiavaniu odbornosti v oblasti kybernetickej bezpečnosti.

Kontinuálne zlepšovanie procesov

Dohľadové centrum bude pravidelne preskúmavať a zlepšovať pracovné postupy a procesy na základe skúseností získaných počas riešenia kybernetických incidentov. Tým sa dosiahne efektívnejšia a zohľadnená reakcia na hrozby.

Sledovanie právnych a regulačných požiadaviek

Projekt zabezpečí, že činnosti pracoviska dohľadového centra budú v súlade s platnými právnymi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej bezpečnosti, čo znižuje riziko porušenia predpisov a potenciálne sankcie.

Zvýšená reputácia a dôvera

Dôsledné opatrenia v oblasti kybernetickej bezpečnosti pomáhajú zvýšiť dôveru v samosprávu. Zabezpečením integrity, dôvernosti a dostupnosti dôležitých informácií a služieb v kybernetickom priestore sa zlepšuje vnímaná kvalita a spoľahlivosť samosprávy. Projekt sa zabezpečí, že MLM nebude iba pasívnym príjemcom informácií o hrozbách, ale aktívnym účastníkom v boji proti nim. Tým sa MLM stane schopnou predvídať a čeliť hrozbám s vyššou efektivitou a dôslednosťou, čím sa posilňuje celková kybernetická bezpečnosť.

Celkovo projekt prispeje k vytvoreniu moderného a efektívneho systému včasnej reakcie na kybernetické hrozby v oblasti samosprávy. Zvýšená kybernetická ochrana a reaktívna schopnosť pomôžu minimalizovať riziká, ktoré kybernetický priestor predstavuje pre dôležité informácie a služby, a to nielen v oblasti MLM ale aj pre ostatné samosprávy.

9. PROJEKTOVÝ TÍM

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:  Predseda RV PhDr. Michal Lavrík, PhD.

 Biznis vlastník Ing. Dušan Močarník

 Zástupca prevádzky Ing. Miroslav Berník

 Zástupca prevádzky Ing. Peter Veselovský

 Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

 Projektový manažér objednávateľa (PM) Ing. Jana Kormaníková Zostavuje sa Projektový tím objednávateľa:

 kľúčový používateľ a IT architekt: Ing. Miroslav Berník

 kľúčový používateľ a IT architekt: Ing. Peter Veselovský

 manažér kybernetickej a informačnej bezpečnosti - Ing. Dušan Močarník  Projektový manažér objednávateľa (PM) Ing. Jana Kormaníková

Uvedený projektový tím, ktorí tvoria zamestnanci MLM je garanciou úspešnej realizácie projektu po zabezpečení jeho financovania na základe ŽoNFP v rámci výzvy.

9.1 PRACOVNÉ NÁPLNE

10.PRÍLOHY

1. Príloha : Zoznam rizík a závislostí (Excel): 1_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_KIBLM.xlsx
   Koniec dokumentu